Какие факторы следует учитывать при проектировании архитектуры при выборе соединения Azure HCM вместо соединения Azure VPN S2S для приложения, размещенного в службе приложений Azure?

Я пытаюсь развернуть гибридное приложение в Azure. Мое приложение будет размещено в службе облачных приложений Azure, а база данных - на частном контроллере домена компании. У меня есть вопрос об оптимальной архитектуре или оптимальном архитектурном решении в Azure в этом сценарии. У меня есть возможность использовать соединение VPN S2S или диспетчер гибридных подключений службы приложений Azure (HCM).

Поскольку оба они устанавливают соединение через общедоступный Интернет, они оба будут страдать от множественных переходов и, вероятно, не будут иметь никаких гарантий SLA.

Итак, что нужно учитывать при проектировании при выборе одного из них, и когда мне следует выбрать диспетчер гибридных подключений (HCM) вместо VPN Site-to-Site (S2S) при установке гибридного подключения из приложения с размещением в Azure (PaaS). с локальной БД? Какой из них быстрее?


azure-web-app-service azure-appservice azure-app-service-plans azure-hybrid-connections
person Andy    schedule 20.07.2020    source источник
comment
Я также искал документ HCM и документы Центра архитектуры Azure, но не смог найти никаких конкретных рекомендаций по этому поводу.   -  person Andy    schedule 21.07.2020

Ответы (1)


arrow_upward
1
arrow_downward

Насколько мне известно, в случае подключения службы вашего приложения к локальной базе данных, функции HCM со службой приложений проще развертывать и без шлюза, чем служба приложений Azure через соединение Site-to-Site (S2S). . Его достаточно использовать для подключения ресурсов в удаленной сети. Совершать исходящие вызовы в Azure через порт 443 безопасно.

Каждое гибридное соединение коррелирует с одной комбинацией хоста TCP и порта. Он просто обеспечивает доступ к сети. См. Преимущества гибридного подключения службы приложений и Что нельзя делать с гибридными подключениями

Однако, если вы используете azure служба приложений с виртуальной сетью и VPN-подключением, она устанавливает частное подключение службы веб-приложений к базе данных и обеспечивает больший контроль над правилами сетевой безопасности. Кроме того, имеется предварительная версия для использования частных конечных точек для Azure. Веб-приложение.

Вы можете использовать частную конечную точку для своего веб-приложения Azure, чтобы позволить клиентам, находящимся в вашей частной сети, получить безопасный доступ к приложению через частную ссылку. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети Azure. Сетевой трафик между клиентом в вашей частной сети и веб-приложением проходит через виртуальную сеть и частную ссылку в магистральной сети Microsoft, исключая доступ из общедоступного Интернета.

person Nancy Xiong    schedule 22.07.2020